Errores comunes en la atribución de ciberataques
Los grupos criminales suelen compartir códigos y técnicas para tratar de engañar a los investigadores de seguridad.
Atribuir ataques a determinado actores o grupos de ciberdelincuentes es una tarea complicada, particularmente los que proceden de bandas patrocinadas por estados. Y, es que, los ‘malos’ se han especializado en ocultar sus huellas e, incluso, en desviar la atención hacia otros grupos. Por ello, el mejor método para realizar una inculpación sólida pasa por examinar la infraestructura y las técnicas utilizadas en el ataque, aunque no garantiza el éxito, ni mucho menos.
Los investigadores suelen confiar en tres fuentes de inteligencia, tal y como asegura Paulrasgneres, directivo de Talos, la división de ciberinteligencia de Cisco. Por una parte, se basan en la inteligencia de código abierto (OSINT), que es la información pública que se encuentra en Internet; inteligencia técnica, que pasa por el análisis del malware; y los datos patentados disponibles solo para las organizaciones involucradas en el incidente.
Asimismo, las agencias de inteligencia nacionales también sirven como fuente ya que tienen más información y recursos adicionales que el sector privado, pero a menudo éstas son reservadas en sus métodos, según el experto.
Para poner de manifiesto este problema de atribución Rascagneres recurrió al malware WellMess, descubierto por el CERT nacional japonés en 2018 y que el Centro Nacional de Ciberseguridad Cibernética de Reino Unido (NCSC) atribuyó directamente al grupo APT29, más conocido como Cozy Bear, que está respaldado por Rusia. Fueron varios los organismos internacionales los que apoyaron esta justificación, sin embargo, y a pesar de las técnicas empleadas, se equivocaron de atacantes o, por lo menos, no pudieron saber con certeza si era Cozy Bear quien estaba detrás de este malware.
El análisis de código compartido es otra técnica comúnmente utilizada en el proceso de atribución, aunque puede llevar a error si el código es público. En esos casos, sus similitudes pueden dar lugar a una atribución incorrecta. Además, las banderas falsas también pueden llevar a los investigadores a conclusiones desacertadas. “Es en estos casos en los que las agencias de inteligencia tienen ventaja”, asegura Vitor Ventura, analista de Cisco Talos. “Tienen información que nosotros no tenemos. Tienen inteligencia de señales y todo tipo de datos con los que los demás no contamos”. En cualquier caso, dice, lo mejor es afrontar que habrá cosas que nunca se sabrán. “Debemos aceptar que es posible que no puedan compartir ese tipo de informaciones.
